Kostenloses Tool
Kostenloser Security-Headers-Checker
Geben Sie Ihre URL ein, um zu prüfen, welche Sicherheitsheader vorhanden sind. Erhalten Sie eine Note mit spezifischen Empfehlungen zur Verbesserung Ihrer Sicherheit.
So funktioniert es
URL eingeben
Fügen Sie Ihre Website-Adresse in den Checker oben ein.
Wir prüfen die Header
Das Tool ruft Ihre Seite ab und inspiziert alle HTTP-Sicherheitsheader gegen Best Practices.
Note ansehen
Sehen Sie, welche Header vorhanden, fehlend oder falsch konfiguriert sind, mit klaren Erklärungen.
Was dieses Tool prüft
Strict-Transport-Security (HSTS)
Erzwingt HTTPS-Verbindungen und verhindert Downgrade-Angriffe.
Content-Security-Policy (CSP)
Bestimmt, welche Ressourcen der Browser laden darf, um XSS-Angriffe zu blockieren.
X-Frame-Options
Verhindert Clickjacking, indem das Laden Ihrer Website in iFrames blockiert wird.
X-Content-Type-Options
Verhindert, dass Browser Content-Typen erraten, und blockiert MIME-Sniffing-Angriffe.
Referrer-Policy und Permissions-Policy
Verwaltet die Weitergabe von Referrer-Informationen und den Browser-Funktionszugriff.
Warum Sicherheitsheader wichtig sind
Sicherheitsheader sind Anweisungen, die Ihr Webserver bei jeder Seite an Browser sendet. Sie teilen dem Browser mit, was erlaubt und was verboten ist. Ohne diese Header ist Ihre Website anfälliger für Cross-Site-Scripting (XSS), Clickjacking, Dateinjektion und Man-in-the-Middle-Angriffe.
Die meisten modernen Web-Frameworks machen es einfach, Sicherheitsheader hinzuzufügen. Einige Zeilen Konfiguration können ganze Angriffskategorien blockieren. Trotzdem werden viele Websites ohne Basis-Header gestartet, weil sie unsichtbar sind.
Google betrachtet HTTPS und Sicherheitssignale auch als Ranking-Faktoren. Eine gut gesicherte Website schützt nicht nur Ihre Besucher, sondern kann in den Suchergebnissen besser abschneiden.
DSGVO Artikel 32 und Sicherheitsheader
Artikel 32 der DSGVO verpflichtet zu geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Der Gesetzestext nennt keine spezifischen HTTP-Header, überlässt es aber dem Verantwortlichen, zu bestimmen, was angesichts der Risiken geeignet ist.
In der Praxis nennen das BSI, ENISA und OWASP Sicherheitsheader als Mindestmaßnahme für jede Website. Bei einem Datenleck ist das Fehlen von Sicherheitsheadern ein erschwerender Faktor bei der Untersuchung durch die Aufsichtsbehörde.
Die sechs Header, die wirklich wichtig sind
Es gibt etwa fünfzehn HTTP-Header, die mit Sicherheit zu tun haben. Sechs davon leisten die meiste Arbeit.
Strict-Transport-Security (HSTS). Zwingt den Browser, für alle nachfolgenden Anfragen an Ihre Domain HTTPS zu verwenden. Standardkonfiguration: Strict-Transport-Security: max-age=31536000; includeSubDomains.
Content-Security-Policy (CSP). Bestimmt, welche Quellen Code auf Ihrer Seite laden dürfen. Das ist die stärkste Verteidigung gegen Cross-Site-Scripting. Schwer einzurichten, ohne die Website zu beschädigen. Beginnen Sie zwei Wochen lang im report-only-Modus.
X-Frame-Options. Verhindert, dass Ihre Website in einem iFrame auf einer anderen Domain angezeigt wird. Blockiert Clickjacking. Empfohlener Wert: SAMEORIGIN.
X-Content-Type-Options. Ein nützlicher Wert: nosniff. Verhindert, dass der Browser den MIME-Typ einer Ressource errät.
Referrer-Policy. Bestimmt, welche Informationen im Referer-Header bei ausgehender Navigation mitgesendet werden. Empfohlener Wert: strict-origin-when-cross-origin.
Permissions-Policy. Deaktiviert Browser-APIs, die Ihre Website nicht verwendet. Kamera, Mikrofon, Geolokalisierung.
Häufig gestellte Fragen
Was sind HTTP-Sicherheitsheader?
HTTP-Sicherheitsheader sind Antwort-Header, die Ihr Webserver an Browser sendet. Sie weisen den Browser an, wie mit dem Inhalt Ihrer Website umzugehen ist, und blockieren Angriffe wie XSS und Clickjacking.
Warum bekommt meine Website eine F-Note?
Eine F-Note bedeutet, dass die meisten empfohlenen Sicherheitsheader fehlen. Das kommt bei Standard-Serverkonfigurationen häufig vor. Header hinzuzufügen dauert meist nur wenige Minuten Konfiguration.
Wie füge ich meiner Website Sicherheitsheader hinzu?
Die Methode hängt von Ihrem Hosting ab. Für Apache verwenden Sie .htaccess, für Nginx den Serverblock, für Vercel oder Netlify die Header-Konfigurationsdatei. Die meisten CDNs ermöglichen ebenfalls das Hinzufügen von Headern.
Verlangsamt das Hinzufügen von Sicherheitsheadern meine Website?
Nein. Sicherheitsheader fügen jeder Antwort eine vernachlässigbare Datenmenge hinzu — typischerweise weniger als 500 Bytes. Sie haben keine messbare Auswirkung auf die Ladegeschwindigkeit.
Ist Content-Security-Policy schwer einzurichten?
CSP kann für Websites mit vielen Drittanbieter-Skripten komplex sein. Beginnen Sie mit dem Report-Only-Modus, um zu sehen, was blockiert würde, bevor Sie es durchsetzen. Eine Basisrichtlinie ist einfach zu implementieren.
Beeinflussen Sicherheitsheader SEO?
Indirekt ja. Google bevorzugt HTTPS-Websites und HSTS stellt sicher, dass HTTPS immer verwendet wird. Eine sichere Website baut auch Vertrauen bei Nutzern auf, was die Absprungraten senkt.
Wie oft sollte ich meine Sicherheitsheader prüfen?
Prüfen Sie nach jeder Deployment- oder Serverkonfigurationsänderung. Header können bei Updates versehentlich entfernt werden. Regelmäßiges Monitoring erkennt Regressionen, bevor Angreifer es tun.
Sicherheit ist nur ein Teil des Bildes
Ihr Sicherheitsheader-Score sagt einen Teil. Wir prüfen auch Cookie-Einwilligung, DSGVO-Compliance, Barrierefreiheit und 120+ weitere Compliance-Punkte.
Kostenlosen Website-Scan starten→